Cette page a été traduite par l'API Cloud Translation.

Configurer votre IDP SAML

La spécification SAML définit trois entités :

Compte principal (utilisateur de l'interface utilisateur Edge)
Fournisseur de services (authentification unique Apigee)
Fournisseur d'identité (renvoie une assertion SAML)

Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Apigee). Apigee SSO (en tant que fournisseur de services SAML) demande et obtient ensuite une assertion d'identité de l'IDP SAML et utilise cette assertion pour créer le jeton OAuth2. requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.

Ce processus est illustré ci-dessous:

Dans ce diagramme :

L'utilisateur tente d'accéder à l'interface utilisateur Edge en envoyant une demande à l'URL de connexion pour Edge UI. Par exemple : https://edge_ui_IP_DNS:9000
Les requêtes non authentifiées sont redirigées vers l'IdP SAML. Par exemple : "https://idp.customer.com".
Si l'utilisateur n'est pas connecté au fournisseur d'identité, il est invité à se connecter po.
L'utilisateur se connecte.
L'utilisateur est authentifié par l'IdP SAML, qui génère une assertion SAML 2.0 et renvoie à l'authentification unique Apigee.
Apigee SSO valide l'assertion, en extrait l'identité, génère le jeton d'authentification OAuth 2 pour l'interface utilisateur Edge et redirige l'utilisateur vers l'interface utilisateur Edge principale à l'adresse:
```
https://edge_ui_IP_DNS:9000/platform/orgName
```
Où orgName est le nom d'une organisation Edge.

Edge prend en charge de nombreux fournisseurs d'identité, y compris Okta et les services de fédération Microsoft Active Directory (ADFS). Pour plus d'informations sur la configuration d'ADFS à utiliser avec Edge, voir Configuration Edge en tant que partie de confiance dans ADFS IDP Pour Okta, consultez la section suivante.

Pour configurer votre IdP SAML, Edge a besoin d'une adresse e-mail pour identifier l'utilisateur. Par conséquent, le fournisseur d'identité doit renvoyer une adresse e-mail dans l'assertion d'identité.

En outre, vous pouvez avoir besoin de tout ou partie des éléments suivants:

Paramètre	Description
URL des métadonnées	L'IdP SAML peut nécessiter l'URL de métadonnées de l'authentification unique Apigee. L'URL des métadonnées se trouve dans formulaire: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata Exemple : http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
Assertion Consumer Service URL (URL du service ACS [Assertion Consumer Service])	Peut être utilisée comme URL de redirection vers Edge après que l'utilisateur a entré son IdP d'authentification, sous la forme suivante: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk Exemple : http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
URL de déconnexion unique	Vous pouvez configurer l'authentification unique Apigee pour permettre une déconnexion unique. Voir Configurer la déconnexion unique à partir de l'interface utilisateur Edge pour en savoir plus. L'URL de déconnexion unique de l'authentification unique Apigee se présente sous la forme suivante: `protocol`://`apigee_SSO_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk Exemple : http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
ID d'entité du fournisseur de services (ou URI d'audience)	Pour l'authentification unique Apigee: apigee-saml-login-opdk Remarque:Consultez également l'article suivant destiné à la communauté: Puis-je utiliser une chaîne arbitraire comme ID d'entité du fournisseur de services lors de la configuration de l'authentification unique Apigee Edge ?

Configurer Okta

Pour configurer Okta:

Connectez-vous à Okta.
Sélectionnez Applications, puis votre application SAML.
Sélectionnez l'onglet Assignments (Attributions) pour ajouter des utilisateurs à l'application. Ces utilisateurs pourra se connecter à l'interface utilisateur Edge et effectuer des appels d'API Edge. Toutefois, vous devez d'abord ajouter chaque à une organisation Edge et spécifier le rôle de l'utilisateur. Voir Enregistrer de nouveaux utilisateurs Edge pour plus d'informations.
Sélectionnez l'onglet Sign on (Connexion) pour obtenir l'URL des métadonnées du fournisseur d'identité. Magasin cette URL parce que vous en avez besoin pour configurer Edge.

Sélectionnez l'onglet General (Général) pour configurer l'application Okta, comme indiqué dans les tableau ci-dessous:

Paramètre	Description
URL d'authentification unique	Spécifie l'URL de redirection vers Edge à utiliser après que l'utilisateur a saisi son Okta identifiants de connexion. Cette URL se présente sous la forme: http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Si vous prévoyez d'activer TLS sur `apigee-sso`: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Où `apigee_sso_IP_DNS` est l'adresse IP ou le nom DNS du nœud hébergeant `apigee-sso`. Notez que cette URL est sensible à la casse et que l'SSO doit apparaître en majuscules. Si un équilibreur de charge se trouve devant `apigee-sso`,spécifiez l'adresse IP ou le nom DNS de `apigee-sso`, tel qu'il est référencé via la à un équilibreur de charge HTTP(S) externe global.
À utiliser pour l'URL du destinataire et l'URL de destination	Cochez cette case.
URI de l'audience (ID d'entité du fournisseur de services)	Variable définie sur `apigee-saml-login-opdk`.
RelayState par défaut	Vous pouvez laisser ce champ vide.
Format de l'ID du nom	Spécifiez `EmailAddress`.
Nom d'utilisateur de l'application	Spécifiez `Okta username`.
Instructions d'attributs (facultatif)	Spécifiez `FirstName`, `LastName` et `Email`, comme illustré dans l'image ci-dessous.

Une fois que vous avez terminé, la boîte de dialogue des paramètres SAML devrait s'afficher comme suit: